国产在线中文字幕亚洲,一区视频国产精品观看,欧美日韩国产高清片,久久久久久AV无码免费网站,亚洲无码一二三四五区,日韩无码www.,sese444

您好,歡迎來到維庫電子市場網(wǎng) 登錄 | 免費注冊

深度包檢測技�
閱讀�12372時間�2011-10-10 15:14:36

  深度包檢測技術即DPI技術是一種基于應用層的流量檢測和控制技�,當IP�(shù)�(jù)包、TCP或UDP�(shù)�(jù)流通過基于DPI技術的帶寬管理系統(tǒng)�,該系統(tǒng)通過深入讀取IP包載荷的�(nèi)容來�OSI七層�(xié)議中的應用層信息進行重組,從而得到整個應用程序的�(nèi)�,然后按照系�(tǒng)定義的管理策略對流量進行整形操作�

分類

  �1)基于“特征字”的識別技�

  不同的應用通常依賴于不同的�(xié)�,而不同的�(xié)議都有其特殊的指�,這些指紋可能是特定的端口、特定的字符串或者特定的Bit 序列?;凇疤卣髯帧钡淖R別技術通過對業(yè)務流中特定數(shù)�(jù)報文中的“指紋”信息的檢測以確定業(yè)務流承載的應��

  根據(jù)具體檢測方式的不同,基于“特征字”的識別技術又可以被分為固定位置特征字匹配、變動位置的特征匹配以及狀�(tài)特征匹配三種技��

  通過對“指紋”信息的升級,基于特征的識別技術可以很方便的進行功能擴展,實�(xiàn)對新�(xié)議的檢測�

  如:Bittorrent �(xié)議的識別,通過反向工程的方法對其對等協(xié)議進行分析,所謂對等協(xié)議指的是peer與peer之間交換信息的協(xié)議。對等協(xié)議由一個握手開�,后面是循環(huán)的消息流,每個消息的前面,都有一個數(shù)字來表示消息的長�。在其握手過程中,首先是先發(fā)�19,跟著是字符串“BitTorrent protocol�。那么�19BitTorrent Protocol”就是Bittorrent的“特征字��

 ?�?)應用層�(wǎng)關識別技�

  某些�(yè)務的控制流和�(yè)務流是分離的,業(yè)務流沒有任何特征。這種情況�,我們就需要采用應用層�(wǎng)關識別技術�

  應用層網(wǎng)關需要先識別出控制流,并根據(jù)控制流的�(xié)議通過特定的應用層�(wǎng)關對其進行解析,從�(xié)議內(nèi)容中識別出相應的�(yè)務流�

  對于每一個協(xié)�,需要有不同的應用層�(wǎng)關對其進行分析�

  如SIP、H323�(xié)議都屬于這種類型。SIP/H323通過信令交互過程,協(xié)商得到其�(shù)�(jù)通道,一般是RTP格式封裝的語音流。也就是�,純粹檢測RTP流并不能得出這條RTP流是那通過那種�(xié)議建立的。只有通過檢測SIP/H323的協(xié)議交�,才能得到其完整的分��

 ?�?)行為模式識別技�

  行為模式識別技術基于對終端已經(jīng)實施的行為的分析,判斷出用戶正在進行的動作或者即將實施的動作。行為模式識別技術通常用于無法根據(jù)�(xié)議判斷的�(yè)務的識別。例如:SPAM(垃圾郵件)�(yè)務流和普通的Email�(yè)務流從Email的內(nèi)容上看是完全一致的,只有通過對用戶行為的分析,才能夠準確的識別出SPAM�(yè)��

  以上三種識別技術分別用于不同類型協(xié)議的識別,無法相互替�。而華為公司在應用DPI 技術部署DPI 系統(tǒng)時采用了多業(yè)務控制網(wǎng)關MSCG分層DPI 解決方案,綜合運用了這三種技術,在檢測效率和靈活性方面均達到�

原理

  深度包檢測技術是一種基于應用層的流量檢測和控制技術,當IP�(shù)�(jù)�、TCP或UDP�(shù)�(jù)流通過基于DPI技術的帶寬管理系統(tǒng)時,該系�(tǒng)通過深入讀取IP包載荷的�(nèi)容來對OSI七層�(xié)議中的應用層信息進行重組,從而得到整個應用程��

特征

  1、應用層加密/解密

  SSL廣泛被應用于各種場合,以確保相關�(shù)�(jù)的安全�。這就對防火墻提出了新要求:必須能夠處理數(shù)�(jù)加密/解密。如果不對SSL加密的數(shù)�(jù)進行解密,防火墻就不能對負載的信息進行分析,更不可能判斷數(shù)�(jù)包中是否含有應用層攻擊信�。如果沒有解密功能,深度檢測的所有優(yōu)點都無法體現(xiàn)出來�

  由于SSL加密的安全性很�,企�(yè)常使用SSL技術,以確保關鍵應用程序的通訊�(shù)�(jù)的安全性。如果深度檢測不能對企業(yè)中關鍵應用程序提供深度檢測安全性的�,整個深度檢測的�(yōu)勢將失去意義�

  2、正?�?/STRONG>

  防范應用層攻�,很大程度上依賴于字符串匹配。不正常的匹配會造成安全漏洞。比�,為了探知某種請求的安全策略是否被啟�,防火墻通常根據(jù)請求的URL與安全策略來進行匹配。一旦與某種策略條件完全匹配,防火墻就采用對應的安全策略。指向同一個資源的URL或許有多種不同形�(tài),如果該URL的編碼方式不同的�,二進制方式的比較就不起作用�。攻擊者會利用各種技�,對輸入的URL進行偽裝,企圖避開字符串匹配,以達到越過安全設備的目��

  這些攻擊行為,在欺騙IDS和IPS方面,特別有效,因為攻擊代碼只要與安全設備的特征庫有一點點不同的話,就能夠達到目的�

  解決字符串匹配問題需要利用正常化技�,深度檢測能夠識別和阻止大量的攻�。對于防范隱藏在幀�(shù)�(jù)、Unicode、URL編碼,雙重URL編碼和多形態(tài)的Shell等類型的攻擊行為,必須要用到�?;夹g�

  3、協(xié)議一致�

  應用層協(xié)�,如HTTP、SMTP、POP3、DNS、IMAP和FTP,在應用程序中經(jīng)常用到。每個協(xié)�,都由RFC(Request For Comments)相關規(guī)范創(chuàng)��

  深度檢測防火�,必須確認應用層�(shù)�(jù)流是否與這些�(xié)議定義相一�,以防止隱藏其中的攻��

  深度檢測在應用層進行狀�(tài)檢測。協(xié)議一致�,通過對協(xié)議報文的不同字段進行解密而實�(xiàn),當�(xié)議中的字段被識別出來�,防火墻采用RFC定義的應用規(guī)�,來檢查其合法性�

  4、雙向負載檢�

  深度檢測具有強大功能,能夠允許數(shù)�(jù)包通過,拒絕數(shù)�(jù)�,檢查或修改�4�7層數(shù)�(jù)包,包括包頭或負�。HTTP深度檢測能夠查看到消息體中的URL,包頭和參數(shù)等信息。深度檢測防火墻能夠自動進行動態(tài)配置,以便正確檢測服務變量,如長�,隱藏字段和Radio按鈕等等。如果請求的變量不匹�,不存在或者不正確的話,深度檢測防火墻會將請求丟棄�,將該事件寫入日志,并給管理員發(fā)出警告信��

功能

  1、業(yè)務識�

  一般而言,對于業(yè)務識別有兩種方法,一種是對運營商開通的合法�(yè)�,另外一種是運營商需要進行�(jiān)管的�(yè)��

  前者可以通過�(yè)務流的五元組來標�,如VOD�(yè)�,其�(yè)務流的地址是屬于VOD服務器網(wǎng)段的地址,其端口是一個固定的端口。系�(tǒng)一般采用ACL的方�,識別出該類�(yè)��

  后者需求DPI技�,通過前述的業(yè)務識別方法,通過對IP�(shù)�(jù)包的�(nèi)容進行分析,通過特征字的查找或者業(yè)務的行為�(tǒng)�,得到業(yè)務流的類��

  2、業(yè)務控�

  通過DPI 技術識別出各類�(yè)務流之后,根�(jù)�(wǎng)絡配置的組合條件,如用戶、時�、帶�、歷史流量等,對�(yè)務流進行控制??刂品椒òǎ赫^D�(fā)、阻塞、限制帶�、整彀重標記�(yōu)先級��

  為了便于�(yè)務的運營,業(yè)務控制策略一般集中配置在策略服務器中,用戶上線后動態(tài)下發(fā)�

  3、業(yè)務統(tǒng)�

  DPI 的業(yè)務統(tǒng)計功能是為了直觀的統(tǒng)計網(wǎng)絡的�(yè)務流量分布和用戶的各種業(yè)務使用情�,從而更好的�(fā)�(xiàn)促進業(yè)務發(fā)展和影響�(wǎng)絡正常運營的因素,為�(wǎng)絡和�(yè)務優(yōu)化提供依�(jù)。如:發(fā)掘對用戶有吸引力的業(yè)�、驗證業(yè)務提供水平是否達到了用戶的服務等級協(xié)議SLA、統(tǒng)計分析出�(wǎng)絡中的攻擊流量占多少比例、多少用戶正在使用某種游戲業(yè)務、哪幾種�(yè)務最消耗網(wǎng)絡的帶寬和哪些用戶使用了非法VOIP等等�

�(fā)�

  DPI 的檢測技術和�(wǎng)絡上非正常應用的反檢測是矛和盾的關系。前面談到的DPI技術不是靜止不變的,隨著檢測技術的�(fā)�,非正常應用的隱藏技術也在演�。如對數(shù)�(jù)部分加密、隱藏特征字和通過隧道技術躲避檢測等��

  DPI 技術在�(fā)展中將不斷調整上述的檢測方法,從而達到比較高的檢測精度�

  總之,DPI 技術將逐漸在安�、業(yè)務控制、UART接口模塊等方面廣泛應�,為運營商精細控制和運營�(wǎng)絡提供一種利器�

更多精彩�(nèi)�,請登入維庫電子�http://www.06jpkg.cn